关键词 |
ISO27001认证 |
面向地区 |
全国 |
ISO27001认证运行时可导致信息资产安全风险的因素分类及责任部门
1、风险:直接导致服务器运行中断,介质损坏,信息资产大范围损坏的风险,造成严重经济损失。由系统服务部承担安全管理责任。主要原因有:
设备断电
存储介质故障
感染病毒
2、二级风险:直接导致信息资产被非法拷贝传播,信息系统停止运行等重大故障,造成较大的经济损失。由系统服务部和各使用部门和研发部门共同承担安全管理责任。主要原因有:
软件、系统、平台、数据库管理员密码泄露,非法登录,运行数据被修改。
程序入侵
系统运行配置文件非法拷贝传播,使安全管控配置数据外泄。
代码BUG和溢出漏洞
外部攻击
3、风险:导致系统运行结果数据错误或业务数据被非法复制传播,造成一定的经济损失。由系统维护部承担安全管理责任。主要原因有:
业务管理员误操作
系统管理员误操作
操作人员帐号口令被。
信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据ISO27001对您的信息安全管理体系进行认证,引入信息安全管理体系就可以协调各个方面信息管理,从而使管理*为有效。信息安全不是仅有一个防火墙,或找一个提供信息安全服务的公司就可以达到的。它需要全面的综合管理。通过进行ISO27001信息安全管理体系认证。
· 将现有管理体系和业务流程整合,规范IT部门服务水平,规范工作流程,降低导致的风险;
· 提高IT部门相关员工的素质,提高员工的服务能力和工作效率;
· 提升IT部门整体运作及部门间沟通的能力。
ISO27001认证目标:
加强固定资产的管理,固定资产的完好无损,防止资产流失,使公司固定资产能够*好的为公司运营及管理服务。
企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的地位;定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。通过认证能够向及行管部门组织对相关法律法规的符合性。
ISO27001是有关信息安全管理的*标准。初源于英标准准BS7799,经过十年的不断改版,终于在2005年被*标准化组织(ISO)转化为正式的*标准,于2005年10月15日发布为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统
